FixVibe
Covered by FixVibecritical

SQL Injection: Pag-iwas sa Hindi Awtorisadong Pag-access sa Database

Ang SQL injection (SQLi) ay isang kritikal na kahinaan kung saan ang mga umaatake ay nakikialam sa mga query sa database ng isang application. Sa pamamagitan ng pag-iniksyon ng malisyosong SQL syntax, maaaring i-bypass ng mga attacker ang pagpapatotoo, tingnan ang sensitibong data tulad ng mga password at mga detalye ng credit card, o kahit na ikompromiso ang pinagbabatayan na server.

CWE-89

Epekto ng SQL Injection

Ang SQL injection (SQLi) ay nagbibigay-daan sa isang umaatake na makagambala sa mga query na ginagawa ng isang application sa database nito na [S1]. Kasama sa pangunahing epekto ang hindi awtorisadong pag-access sa sensitibong data gaya ng mga password ng user, mga detalye ng credit card, at personal na impormasyon [S1].

Higit pa sa pagnanakaw ng data, kadalasang maaaring baguhin o tanggalin ng mga umaatake ang mga rekord ng database, na humahantong sa patuloy na pagbabago sa gawi ng application o pagkawala ng data [S1]. Sa mga kaso na may mataas na kalubhaan, maaaring palakihin ang SQLi upang makompromiso ang back-end na imprastraktura, paganahin ang mga pag-atake sa pagtanggi sa serbisyo, o magbigay ng patuloy na backdoor sa mga system ng organisasyon [S1][S2].

Root Cause: Hindi Ligtas na Paghawak ng Input

Ang ugat ng SQL injection ay ang hindi tamang neutralisasyon ng mga espesyal na elemento na ginamit sa isang SQL command na [S2]. Ito ay nangyayari kapag ang isang application ay gumagawa ng mga SQL query sa pamamagitan ng pagsasama-sama ng externally-influenced na input nang direkta sa query string [S1][S2].

Dahil ang input ay hindi maayos na nakahiwalay sa istruktura ng query, ang database interpreter ay maaaring magsagawa ng mga bahagi ng user input bilang SQL code sa halip na ituring ito bilang literal na data na [S2]. Ang kahinaan na ito ay maaaring magpakita sa iba't ibang bahagi ng isang query, kabilang ang mga SELECT na mga pahayag, mga halaga ng INSERT, o mga UPDATE na mga pahayag na [S1].

Mga Konkretong Pag-aayos at Pagbabawas

Gumamit ng Mga Parameterized na Query

Ang pinaka-epektibong paraan upang maiwasan ang SQL injection ay ang paggamit ng mga parameterized na query, na kilala rin bilang mga inihandang pahayag na [S1]. Sa halip na pagsama-samahin ang mga string, dapat gumamit ang mga developer ng mga structured na mekanismo na nagpapatupad ng paghihiwalay ng data at code na [S2].

Prinsipyo ng Pinakamababang Pribilehiyo

Dapat kumonekta ang mga application sa database gamit ang pinakamababang mga pribilehiyong kinakailangan para sa kanilang mga gawain [S2]. Ang isang web application account ay hindi dapat magkaroon ng mga pribilehiyong pang-administratibo at dapat ay limitado sa mga partikular na talahanayan o mga operasyon na kinakailangan para sa paggana nito [S2].

Input Validation at Encoding

Bagama't hindi isang kapalit para sa parameterization, ang input validation ay nagbibigay ng defense-in-depth na [S2]. Dapat gumamit ang mga application ng diskarteng accept-known-good, na nagpapatunay na tumutugma ang input sa mga inaasahang uri, haba, at format na [S2].

Paano sinusuri ito ng FixVibe

Sinasaklaw na ng FixVibe ang SQL injection sa pamamagitan ng gated active.sqli scanner module. Ang mga aktibong pag-scan ay tumatakbo lamang pagkatapos ng pag-verify at pagpapatunay ng pagmamay-ari ng domain. Kino-crawl ng tseke ang parehong pinagmulang GET endpoint na may mga parameter ng query, nagtatatag ng baseline na tugon, naghahanap ng mga anomalyang boolean na partikular sa SQL, at nag-uulat lamang ng paghahanap pagkatapos ng kumpirmasyon ng timing sa maraming haba ng pagkaantala. Nakakatulong din ang mga pag-scan ng repository na mahuli ang ugat nang mas maaga sa pamamagitan ng code.web-app-risk-checklist-backfill, na nagba-flag ng mga raw SQL na tawag na binuo gamit ang template interpolation.